我们在两个不同的 GKE 集群中部署微服务,一个用于测试,另一个用于生产。 我们的工作负载利用了工作负载身份。在“测试环境”中一切正常,所有工作负载都共享已绑定到 GCP 服务帐户的同一 Kubernetes 服务帐户。 在“生产环境”中,集群由三个节点池支持(我为了完整性而包含此信息,但我不确定它是否重要),并且我们在工作负载身份方面存在问题。 在生产环境中,在某些容器中,如果我们使用 shell 获取元数据或使用 gcloud,我们会意外地发现当前用户是与节点关联的用户,而不是来自工作负载身份的用户。对于其他 pod,工作负载身份可以按预期工作。 另一件...
我正在寻找一种对 Firebase 控制台用户进行用户管理(创建、管理、角色分配等)的方法(而不是应用程序代码级别控制)。到目前为止,我一直在通过将 Microsoft 作为提供商集成到 Firebase 中并使用带有 Cloud Identity 的 Google Cloud Platform 来测试这种情况的解决方案,但所有这些解决方案似乎都是针对 Firebase 代码级别访问控制,而不是 Firebase 控制台用户管理。我们的安全部门要求这样做以允许使用 Firebase,因为我们在 Firebase 中只有本地帐户。到目前为止,我在互联网上找到的...
[email protected]因此,我有一个可以访问角色 A 和 B 的Google 云服务帐户。 我需要有服务帐户 2[email protected]来访问角色 A、B,和C。 我如何才能sa-2获得相同的访问权限sa-1以及其他访问权限? 我尝试sa-2以负责人的身份添加sa-1该Service Account Admin角色。 IAM 和管理 服务帐户 选择sa-1 “+ 授予访问权限” sa-2在下拉列表中指定New principals 点击“保存” 但是使用该帐户访问 GCP 服务仍然被拒绝sa-2。 我正在尝试获取...
我注册了一个域名(例如 mydomain.com),并开设了一个与该域名关联的 Cloud Identity(免费版)帐户。 然后我为这个管理员用户配置了 Google Cloud 访问权限。这样,我终于有了自己的 Cloud Identity 帐户,我的用户是管理员,我的组织和我的 Google Cloud 帐户,我可以用它们访问 Google Cloud Console。 访问 Google Cloud Console 后,我为我的组织设置了付款和账单配置文件;我还通过 Google Admin Console 创建了一些群组和其他用户。它们都属于 my...
我打算设立家庭帐户,并且想知道 Google Identity Platform 是否允许跨用户建立某种层级链。 例如:我家有三口人,但我是付费方。我拥有全部权限(例如编辑付款)。我想给我的配偶某种家长同意(如果是流媒体服务,他/她可以观看 R 级视频),但我的孩子只能观看 PG-13 视频。 Google Identity Platform 允许这样做吗?如果允许,我可以在哪里找到其文档中的更多信息? 谢谢! ...
我需要对 GCP 上 IAP 后面托管的 Web 应用程序进行 cURL 操作。 通常,用户通过 IAP 登录并使用 Web 应用程序,但我需要运行一些命中 Web 应用程序 URL 的 cURL 命令(交互式和非交互式)(例如: https://myapp.com/get_pics/1) 我不知道如何从 GCP 获取可在 cURL 授权标头中使用的 Bearer 令牌。 我可以设置一个具有“IAP 安全的 Web 应用程序用户”角色的服务帐户,并且我有该服务帐户的 JSON 密钥,但我不确定之后去哪里获取 IAP 将接受的正确的 Bearer 令牌...
在 GCP IAM 控制台中,我可以将整个组织(example.com 的域)或单个用户添加到角色中。但是,我已在 GSuite/Cloud Identity 中设置用户,并将其组织到我想要使用的 OU 中。 有没有办法将组织单位(OU)(在 Cloud Identity 中)的成员映射到 IAM 角色(在 GCP IAM 中)? ...
尝试注册 Cloud Identity 但出现以下错误消息; 您公司的域名是什么? “查找您的域名时出错。”的真正含义是什么——它真正在寻找什么? 我正在使用由 Google 域托管的域,该域目前没有指向任何内容,但具有有效的 SOA 和 NS 记录。 ...
此时我遇到一个问题,我想登录 Google Identity 的资产,但使用 Azure AD 作为 IdP(身份提供者)。 我已经设置了整个 SAML 环境,其中 Google 作为 SP,Azure 作为 IdP。现在,这里的问题是,当我调用 oauth2 登录 Google 时,我首先获得 Google 登录页面,然后是 Microsoft 登录页面。显然这不是我们想要的。 我希望能够单击链接来访问 Google 应用程序,然后 Google 本身会将我重定向到 Azure 登录页面,而无需使用 Google 的登录。 ...
我已经设置了 SSSD 和 openldap 以成功查询 ldaps://ldap.google.com。我可以使用 ldapsearch 执行查询,并且可以使用 sssctl 和 getent 与目录交互。不幸的是,我所有以目录中的用户身份进行身份验证的尝试都遇到了 INVALID_CREDENTIALS(ldap 错误代码 49)。我使用多个客户端重现了此行为。我可以在 GSuite 管理控制台中的 LDAP 审计日志中观察到这些失败 LDAP bind with uid=brian,ou=Users,dc=XXX,dc=com failed with...
我的组织不使用 GSuit,但我们仍想使用 Google Cloud Platform。我使用非 Gsuit 电子邮件地址在那里注册,并且我有一个可以登录的 GCP 帐户。 我看到两个问题,它们可能相关。当我尝试使用非 gsuit 非 gmail 电子邮件地址邀请组织中的其他成员时,我收到此错误: 电子邮件地址和域名必须与有效的 Google 帐户或 Google Apps 帐户相关联。 我如何邀请他们成为 Google 或 Google Apps 帐户? 我创建的项目似乎不属于任何组织: 对于非 Gsuit 公司来说,正确的设置方法是...
我的 GCloud 帐户下创建了大约 8 个项目,将来可能还会增加。 我正在尝试使用自动化从单一位置管理库存和与所有项目相关的其他活动。管理 10 多个服务帐户密钥并定期轮换它们变得非常关键。 是否有使用单一服务帐户管理所有项目的选项? 谢谢 ...